问题场景是这样的：
Android程序这边，需要一个secret_key来对需要提交到服务端的数据进行签名，服务端通过验证签名来确保不是伪造的，而是由真实的该Android程序的用户发出的。

那么在这一过程中，如何安全的保存secret_key成为关键

由于Android很容易被反编译，即便做了混淆也无法保证secret_key的安全，如果是把secret_key放在.so文件中，然后通过方法调用来取得secret_key，但是.so文件被别人提取出来后调用，那一样无法保证secret_key的安全。

不知道有没有更好的方法。

补充，https应该可以作为一种选项吧，但如果没有https，是否还有其他方法？

简单的说，要讨论的是：无https情况下，移动端与服务端的可信通信。